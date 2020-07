Bei den Berliner Wasserbetrieben (BWB) haben sich in den vergangenen Jahren gravierende Sicherheitsmängel angehäuft. Das Sicherheitsberatungsunternehmen Alpha Strike Labs stellte nach Informationen des Tagesspiegels im April bei einer „Security Analyse“ im Bereich Abwasser und bei der Informationstechnik der BWB mehr als 30 Schwachstellen fest.

Acht Mängel wurden als „kritisch“ eingestuft, weitere neun als „hoch“. In dem als vertraulich eingestuften, 82-seitigen Papier schreibt Alpha Strike, „wir bewerten den IT-Sicherheitszustand der Berliner Wasserbetriebe als mangelhaft und die aktuelle Gefährdungslage als hoch“. Die Analyse liegt dem Tagesspiegel vor.

Alpha Strike warnt vor einem „erfolgreichen schwerwiegenden Angriff“ von Hackern auf die IT und das Leit- und Informationssystem Abwasser (LISA). Befürchtet wird ein „mehrwöchiger Zusammenbruch der Abwasserentsorgung Berlins“. Die Wahrscheinlichkeit, schätzt Alpha Strike, sei innerhalb der nächsten fünf Jahre hoch.

Intern heißt es bei den Wasserbetrieben, beim Zusammenbruch würden nach einer Woche Abwasserrohre und Kanäle volllaufen. Abwässer würden ungeklärt in Flüsse gelangen und in Gullys hochkommen. Toiletten wären nicht mehr zu benutzen. Mit manuellen Pumpen und Tankwagen, die Abwasser absaugen, „wäre das Problem nur partiell zu lösen“. Im Februar 2019 seien die BWB beim mehr als 30-stündigen Stromausfall im Stadtteil Köpenick „mit ihren Kapazitäten an die Grenze gekommen“.

Verwiesen wird zudem auf ein Szenario der Emschergenossenschaft, ein Wasserwirtschaftsverband im Ruhrgebiet. Die Genossenschaft warnte im Juni, Überschwemmungen mit Abwasser würden „aufgrund der Keime und Bakterien zu Krankheitsausbrüchen und Seuchen“ führen.

Die Wasserbetriebe beauftragten im April 2020 die Berliner Firma Alpha Strike mit der Untersuchung zu Schwachstellen, nachdem sensible Daten zum Leit- und Informationssystems Abwasser an ein externes Unternehmen gelangt waren. Wegen der Sicherheitslücke war eine systematische Prüfung notwendig.

Vorstandsvorsitzender Simon: "Solche Berichte sind selten Grund zur Freude"

Die Mängelliste von Alpha Strike ist dem Management der landeseigenen Wasserbetriebe unangenehm. „Solche Berichte sind selten Grund zur Freude“, sagte der Vorstandsvorsitzende Jörg Simon. Der Report zeige „einmal mehr, in welchem ständigen Wettlauf wir heute mit der Schwerstkriminalität bis hin zu organisiertem Cyberterrorismus stehen“. Simon betonte, er teile nicht alle Schlussfolgerungen des Berichts, "aber zweifelsohne gibt er uns eine Menge Hausaufgaben auf". Die BWB betont, die Mängel würden „im Rahmen einer Task Force abgearbeitet“.

Als „kritische“ Mängel nennt Alpha Strike unter anderem das System der Firewalls, mit denen ein unerlaubter Zugriff auf die IT der Wasserbetriebe verhindert werden soll. Die „Firewall-Konfiguration“ sei „fehlerhaft, lückenhaft und nicht nachvollziehbar“. Außerdem fehle ein Prozess "für regelmäßige Firewall-Regelwerküberprüfung". Alpha Strike fand auch heraus, dass eine besonders sensible Schnittstelle zwischen Netzwerken nur durch eine Firewall geschützt ist.

Alpha Strike entdeckte zudem Schwachstellen im E-Mail-System, durch die Angreifer Rechner der BWB mit Computerviren infizieren könnten. Als weiterer kritischer Mangel wird „unzureichender physischer Schutz von Pumpwerken“ genannt. Der Tagesspiegel verzichtet darauf, weitere technische Details zu nennen. Sie könnten Cyber-Kriminelle, Terroristen und feindliche Geheimdienste animieren, gezielte Attacken zu versuchen.

Pumpwerke schlecht gesichert

Einige Pumpwerke, teilweise unauffällige Kästen an Straßen, waren zumindest zum Zeitpunkt der Untersuchung von Alpha Strike schlecht gesichert. In einem Fall hätte ein Angreifer sogar einen Kasten mit der Hand aufbrechen können. Über die Pumpwerke könnten Hacker, so sieht es Alpha Strike, in größere Schaltsysteme eindringen.

Die Experten beschreiben im Bericht ein Szenario, in dem eine Hackergruppe das komplette Abwassernetzwerk unter seine Kontrolle bringt. Die Täter erpressen die Wasserbetriebe, fordern 500 000 Euro in Bitcoin und drohen, mit einem großflächigen Pumpenschaden das Berliner Abwassernetzwerk lahmzulegen.

Wasserbetriebe entfernen Karte zu Pumpwerken

Das BWB-Management hält das Szenario jedoch für übertrieben. Die Pumpwerke könnten jederzeit von der Automatisierungstechnik getrennt und von Hand gesteuert werden, heißt es in den schriftlichen Antworten der BWB auf Fragen des Tagesspiegels. Außerdem würden alle begehbaren Pumpwerke "zusätzlich zu den Türkontakten mit Bewegungsmeldern ausgestattet". Die Wasserbetriebe haben zudem auf ihrer Website die Karte mit den Standorten der 164 Pumpwerke entfernt.

Der Sachverstand von Alpha Strike wird allerdings trotz vermeintlich übertriebener Szenarien weiter genutzt. Die Wasserbetriebe sagen, ihre Task Force werde von der Firma bei der "Abarbeitung" der Mängel begleitet. Dazu hat Alpha Strike im Bericht bereits Maßnahmen empfohlen, wie die Sicherheitsprobleme zu beheben wären. Die Zuständigkeit für die IT-Sicherheit sollte aus dem IT-Betrieb heraus in eine andere Unternehmenseinheit überführt werden, mahnt Alpha Strike. Kurzfristig sollte zudem "die Fehlkonfiguration der Mailserver" ersetzt werden.

IT-Sicherheit muss komplett umgebaut werden

Die Wasserbetriebe haben nach eigenen Angaben "ein umfangreiches Sofort-Maßnahmenprojekt" aufgesetzt. Es sei davon auszugehen, "dass fünf von acht kritischen Mängeln und fünf von neun hohen Mängeln bis zum 31.07.2020 behoben sein werden". Bei den verbleibenden Mängeln sei "die Behebung" konzeptionell abgeschlossen, "relevante Maßnahmen" befänden sich "in der Umsetzung".

In den Wasserbetrieben sind allerdings zweifelnde Stimmen zu hören. Die Architektur der IT-Sicherheit müsse komplett umgebaut werden, heißt es. Das dürfte mindestens zwei Jahre dauern.

Die für die Wasserbetriebe zuständige Wirtschaftssenatorin Ramona Pop (Grüne), auch Aufsichtsratsvorsitzende der BWB, äußerte sich nur knapp. Die Mitglieder des Aufsichtsrats seien über die Ergebnisse des Berichts und „über die unternehmensseitig abgeleiteten Maßnahmen“ informiert worden, sagte eine Sprecherin. Die Sicherheit der IT-gestützten Systeme habe "oberste Priorität bei den Organen der Gesellschaft". Der Vorstand berichte dem Aufsichtsrat "regelmäßig sowie anlassbezogen über den aktuellen Sachstand". Der Aufsichtsrat überwache die Umsetzung der Maßnahmen und stehe dem Vorstand "gleichfalls beratend zur Seite". Auf die Frage, wer für die festgestellte Mängel verantwortlich ist, gab es keine Antwort.

Kritik am Bundesinnenministerium

Bundesweit lenken Kritiker den Blick auf die Frage, welche Betriebe überhaupt als kritische Infrastruktur gelten. Damit ein Wasserwerk als Betreiber kritischer Infrastruktur gilt und verpflichtet ist, seine IT angemessen abzusichern, muss es 500.000 Menschen oder mehr versorgen. Die Berliner Wasserbetriebe zählen also dazu, viele kleinere aber nicht. Bei diesem Schwellenwert sehen Experten Handlungsbedarf - eine Absenkung müsse geprüft werden.

Scharfe Kritik gibt es in diesem Zusammenhang am Bundesinnenministerium (BMI). In der Verordnung zur kritischen Infrastruktur ist vorgesehen, dass diese und damit auch die Schwellenwerte regelmäßig evaluiert werden müsse.

Die FDP moniert, dass das noch nicht geschehen ist und das BMI mehrere Fristen dafür gerissen habe. Der technologiepolitische Sprecher der FDP-Fraktion, Mario Brandenburg, wirft dem BMI vor, sich „vorsätzlich in den Blindflug“ zu begeben. Für die Koalition sei die Versorgungssicherheit der Bürger zweitrangig, sagte er dem Tagesspiegel. Das BMI meint hingegen, im Plan zu sein und hält einen anderen Stichtag für maßgeblich.

Abgesehen von der Senkung des Schwellenwertes sehen IT-Experten es als nötig an, die Betreiber kritischer Infrastruktur stärker in die Haftung zu nehmen, wenn etwas passiert.